|
|
| |
| Q1 |
ISO27001の導入は、今後の企業にとって必然でしょうか?
|
|
|
A 急速なIT化の進展とインターネットの普及に伴って情報漏洩事件・事故が多発し、企業に対しては、IT社会特有の環境の変化に効率的に対応する必要性と社会的責任の双方が要求されています。また「個人情報の保護に関する法律」の施行によって、法的側面からも情報セキュリティの確保が求められており、官公庁や大手企業ではISO27001やプライバシーマーク等の第三者認証を取得していることを入札・取引開始の条件とするケースが増加しております。企業にとって情報セキュリティの確保は、社会的責任の要請に応えると同時に営業面からも必須条件になると受け止める必要性があり、ISO27001の導入はこうした要請を効率的に充足させるソリューションの一つと位置づけられます。
|
| Q2 |
適用範囲はどのようにして決めればいいのでしょうか?
|
|
A ISO27001は、あらゆる種類の組織を適用可能な対象としており(例:企業、政府機関
非営利団体等)、その中のある特定の事業部門またはその一部を対象として適用範囲を定めることができます。
@事業の特徴、A組織、B所在地、C情報資産の量、D技術的観点等を考慮する一方、取得を希望する対象事業部門と関連する部門との境界が明確に確保され、適正な運用が期待できる物理的環境も併せて考慮しながら認証取得範囲を決定することが必要です。
従って、当初は部門を限定した小規模な範囲で認証取得し、一部門への導入後にノウハウ を蓄積しながら徐々に対象部門を拡大していくことが可能です。
|
| Q3 |
ISO取得の推進体制の中で、事務局スタッフの人選はどのようにするべきでしょうか? |
|
A 事務局スタッフは、情報システム部門、人事・総務・法務・経営企画などの管理部門及びISMS(情報セキュリティマネジメントシステム)の運用に関わる部門から編成される必要があります。これら部門横断的に編成された組織を統制し、任務を遂行していくために、プロジェクトリーダーの選任が鍵になります。
このような事務局スタッフの人選がプロジェクトの成否に関わるため、他のISO規格(9001/14001)やプライバシーマーク認証取得事務局の経験者などをメンバーに加えるのは有効であると考えられます。
|
| Q4 |
セキュリティ確保のステップは、どのように進めていけばいいのでしょうか?
|
|
A 第1に「.防御」として、セキュリティ方針の策定とリスクアセスメントの実施およびリスク認識に基づいた各種対策の立案を行ないます。
第2は「運用」としてリスク対策や防御システムの運用状況、稼動状況の定期的なチェックを行なって問題点を抽出し、改善を図ります。
第3は「対応」の段階です。情報セキュリティ上の問題が発生した場合に対応する手順を構築し、手順の実効性の確認を行なっておくことが大切です。
第4に「リカバリー」として、正常な状態に迅速に復帰が可能な対策が確立されているかについて、有効性を検証します。
以上のステップをP ⇒ D ⇒ C ⇒ Aサイクルの一環として捉え、実践していくことでセキュリティ確保のレベル向上が期待されます。
|
| Q5 |
審査では、詳細管理策の全項目を実施していることが求められるのでしょうか?
|
|
A 必ずしも必要ありません。情報セキュリティ対策には当然ながら、コスト・時間・手間のかかるものがあります。認証審査ではリスクアセスメントの結果に基づいて選択・実施する詳細管理策の決定プロセスが重要視されますが、その決定がどのように行なわれセキュリティが確保されるかについては、ビジネス上の観点から経営陣の判断に委ねられています。
選択したセキュリティ対策が実現するまでの間はリスクの緩和策が必要となりますが、認証審査ではセキュリティ対策の計画とその合理性、即ち情報セキュリティに関する意思決定プロセスがマネジメントシステムの一環として機能しているか、経営陣が変わっても情報セキュリティの意思決定のプロセスが機能し続けることを保証することが求められます。
|
| Q6 |
審査登録機関は、どのようにして選定すればいいのでしょうか?
|
|
A ISO27001審査登録機関20機関(2006年7月現在。登録審査中が1社あり、近日中に21機関となる予定)あり、その中から自社に合った審査機関を選択することが可能です。審査登録機関にはそれぞれ特徴があり、得意な業界・分野、逆に不得意な業種・業界もあります。まず審査登録機関の情報をホームページ等から入手し比較した上で、審査登録機関を訪問して話を聞くことも選定に際しては有効な方法です。
次に、予備調査を実施しない機関もあるため、自社としてこれを希望している場合等は十分な注意が必要となります。また、事前の見積比較等で「安いから」・「知り合いの会社と同じだから」という安直な理由で選択すると、自社にとって適切な審査とならず、過剰な仕組みの導入が必要となる等、却って余分なコスト要因を招く可能性も生じることになります。自社が属する業界に対する造詣があり、取得後の定期的な「維持審査」・「更新審査」に要する費用等も勘案しながら、総合的に自社に最も適切な機関を選定するべきです 。当サイトでは複数の審査機関に対して一括して見積りの請求が可能な「審査登録機関一括見積り」をご用意しています。
|
|
|
A 予備調査は文書審査、実地審査の前に、審査員の事前チェックを受けるフェーズです。予備調査を実施することにより、組織の実態・問題点を文書審査・実地審査前に把握し、改善することが可能となることから、受けることをお薦めします。但し、予備調査を実施していない審査機関もありますので、審査を予約する段階で早めに確認しておくことが必要です。
|
| Q8 |
リスクアセスメントを実施するには、どのようなスキルが必要でしょうか? |
|
A リスクアセスメントとは、会社として守るべき情報資産の価値、それに対する脆弱性と脅威を分析し、リスクを評価する手法です。したがってリスクアセスメントの担当者にはリスクを数値化し客観的に分析する能力が求められます。しかしリスクアセスメントを人間が実施する以上、ある程度担当者の主観が入り、担当者によってリスク分析結果に乖離が生じる可能性があります。こうした可能性を排除する意味で、リスクアセスメント作業には是非ITツールを活用し、リスク分析の客観性を確保することが推奨されます。また、リスクアセスメントには膨大な工数が必要となるため、工数削減・効率化の上からもITツールの導入が有効です。
|
| Q9 |
認証審査で『不適合』を指摘されたらどうすればいいのでしょうか?
|
|
A 審査の指摘事項はその重大さに応じて①重大な不適合、②軽微な不適合、③観察事項に分類されます。①と②はそれぞれ90日以内、20日以内に審査機関に対し、対応を報告する必要があります。期日までに対応をおこなわないと審査は無効になりますので注意が必要です。③についての報告は不要です。なお、一次審査で重大な不適合の指摘を受けた場合は、対応の報告が済むまで本審査を受審できません。
|
| Q10 |
コンサルタント会社を使うべきでしょうか? また、どうやって選択すればいいのでしょうか?
|
|
A ISO認証取得の前提として、コンサルタント会社の使用は必須の要件ではありません。認証取得には技術的なセキュリティシステムの構築とは異なる専門的かつ幅広いノウハウが必要とされますが、決して自社取得を不可能とするものではありません。
しかしながら、事務局スタッフを始めとして社内にノウハウが蓄積されていない場合等、外部のコンサルタント会社の活用は有効な手段の一つであると言うことができます。
トライアンドエラーを繰り返しながら、自社の資源で構築を進めていくと方向性を誤る可能性があります。一方、スケジュールが大幅に遅延して最悪の場合は認証取得のプロジェクトが頓挫する可能性も生じることは否定できません。このようなリスクをヘッジして、認証取得の推進役としてコンサルタントをプロジェクトに参画させ、ノウハウを購入することによって経営的に効果が期待されるようであれば、コンサルタントの導入を検討するべきでしょう。
次に、コンサルタント会社の選択のポイントですが、コンサルタント会社には様々な特徴があります。選択の際は、
1.ISO27001(ISMS)のコンサルティング実績が多い ⇒(専門的かつ幅広いノウハウの蓄積がある)
2.顧客の負荷軽減を意識した対応ノウハウがある ⇒(ITツール等の活用により負荷軽減が図れる)
3.個人情報保護にも精通しその分野でも実績がある ⇒(最重要資産の1つである個人情報の保護についてサポートが得られる)
4.ISO27001、情報セキュリティ関連のコンサルタント数が多い ⇒(組織力を活かしたサポートが期待できる)等のポイントを総合的に評価してパートナーに相応しいコンサルティング会社を選択しましょう。
|
